Category: Web/Tech | Page 14

Linux : résoudre l'erreur APT "there is no public key available for the following key IDs" photo

Linux : résoudre l’erreur APT de clé publique : “no public key available for the following key IDs”

15 March 202202 mai 2016 by Matt Biscay · Lecture: 2 minutes

Pas de clé publique disponible pour vérifier l’authenticité des dépôts

Au lancement de la mise à jour des paquets du serveur, je suis tombé sur le message d’erreur suivant :

W: There is no public key available for the following key IDs:
8B48AD6246925553
W: There is no public key available for the following key IDs:
8B48AD6246925553
W: There is no public key available for the following key IDs:
8B48AD6246925553Code language: PHP (php)

Visiblement, APT a perdu ses petits et ne retrouve plus la clé publique GPG d’un des mes dépôts (webmin en l’occurence).

Voici comment remédier au problème.

Solution : demander et ajouter la clé au trousseau GPG

Un peu de ménage dans APT

On commence par faire un peu de ménage dans les fichiers APT avec un petit coup de balai:

apt-get cleanCode language: JavaScript (javascript)

… avant de récréer le dossier lists/partial pour véritablement recréer le cache APT :

cd /var/lib/apt
mv lists lists.old
mkdir -p lists/partial
apt-get clean && apt-get autoremove && apt updateCode language: JavaScript (javascript)

Import de la clé publique

Maintenant, il nous reste à importer la clé publique manquante dans notre trousseau.

On se place dans le dossier root pour travailler:

cd /root

On demande la clé publique:

gpg --recv-keys 8B48AD6246925553

On l’exporte et on l’ajoute à notre trousseau :

gpg --export 8B48AD6246925553 | apt-key add -Code language: JavaScript (javascript)

On peut alors relancer la mise à jour des paquets :

apt-get clean && apt-get autoremove
apt update && apt upgradeCode language: JavaScript (javascript)

Script bash pour automatiser la mise à jour des clés APT

Soyons plus fous, nous allons automatiser les deux commandes avec un petit script BASH. On crée notre script :

nano /home/scripts/renew-apt-key

et on y ajoute:

#!/bin/bash
# Author : Matt Biscay
# Author URI : https://www.skyminds.net/?p=8735
gpg --keyserver keyserver.ubuntu.com --recv-keys $1
gpg --armor --export $1 | sudo apt-key add -Code language: PHP (php)

On enregistre le fichier et on le rend executable :

chmod +x renew-apt-key

Il ne vous reste plus qu’à renouveler votre clé APT avec:

sudo ./renew-apt-key NUMERO-DE-CLE

Et voilà, plus d’erreur lors des mises à jour APT.

Linux : activer le touchpad multi-touch sur un portable Asus

15 March 202229 avril 2016 by Matt Biscay · Lecture: 2 minutes

Lorsque j’ai installé Ubuntu Mate sur mon nouvel Asus en lieu et place de Windows 10, j’ai vite fait de remarquer que le multi-touch du pavé tactile n’était absolument pas reconnu – seul un dispositif de pointage avec deux boutons est détecté.

Nous allons donc voir comment pallier ce problème.

Ce tuto s’adresse aux ordinateurs portables Asus mais reste valable pour d’autres marques ou modèles.

Mise à jour du système

Commencez par mettre à jour les paquets du système :

sudo apt update && sudo apt upgrade

Puis nettoyez les paquets devenus inutiles:

sudo apt-get autoremoveCode language: JavaScript (javascript)

Mise à jour du kernel

J’ai installé Ubuntu 16.04 deux mois avant la sortie officielle, quand le kernel linux était encore dans la branche 4.2.x et le pavé multitouch (Elan Pad) n’était absolument pas reconnu comme multi-touch mais comme simple souris.

Après de multiples installations de kernel, chacune ajoutant son lot de surprises comme perte de la carte vidéo après le démarrage, ronflement maximal du ventilateur du processeur, boot impossible après l’écran de démarrage GRUB… il faut se résoudre à l’évidence : mieux vaut attendre le kernel officiel, signé et testé.

Le premier kernel fonctionnel qui m’a permis de retrouver le multi-touch est le kernel 4.4.0-20, sans trop d’effets secondaires (changement du pilote graphique).

Serveur dédié : ajouter l’authentification DMARC à Postfix et BIND

4 April 202220 avril 2016 by Matt Biscay · Lecture: 9 minutes

Notre serveur de mail possède une identification SPF, Sender-ID et DKIM et est sécurisé par un certificat TLS. Nous allons aujourd’hui voir comment lui adjoindre l’authentification DMARC.

Aux origines de l’authentification des emails

Les technologies d’authentification des emails SPF et DKIM ont été développées afin de fournir une plus grande assurance sur l’identité de l’expéditeur d’un message.

L’adoption de ces technologies a augmenté régulièrement mais le problème des emails frauduleux et trompeurs n’a pu etre réglé.

Il existe une multitude d’environnements et de systèmes différents pour envoyer des emails, et on fait souvent appel à des applications tierces pour gérer les envois.

S’assurer que chaque message peut être authentifié avec SPF ou DKIM n’est pas une mince affaire étant donné que le traitement des emails se fait en temps réel.

Si le propriétaire d’un domaine envoie un groupe de message et que certains peuvent être authentifiés et d’autres non, alors les récipiendaires de ces messages sont obligés de faire la distinction entre les messages légitimes qui ne sont pas authentifiés et les messages frauduleux qui ne sont pas authentifiés non plus.

Par nature, les algorithmes de spam sont sujets aux erreurs et doivent évoluer constamment pour répondre aux nouvelles tactiques des spammeurs. Au final, certains messages frauduleux parviendront toujours à atteindre la boite de réception du destinataire final.

Le seul moyen de résoudre ces problèmes est de partager l’information entre l’expéditeur et le destinataire. Les destinataires vont fournir des informations sur leur infrastructure d’authentification des messages et les expéditeurs vont dire aux destinataires quoi faire lorsqu’un message reçu n’est pas authentifié.

En 2007, Paypal a été pionnier dans cette approche et a construit un système avec l’aide de Yahoo! Mail puis Gmail. Les résultats ont été très probants, menant à une baisse du nombre des emails frauduleux qui se faisaient passer comme venant des serveurs de Paypal acceptés par les destinataires.

DMARC : un protocole d’authentification email

DMARC, qui signifie Domain-based Message Authentication, Reporting and Conformance est un protocole d’authentification email qui se base sur les protocoles SPF et DKIM – maintenant largement déployés – en ajoutant une fonction de rapport qui permet aux expéditeurs et destinataires d’améliorer et vérifier la protection du domaine contre les emails frauduleux.

DMARC se base sur le processus d’authentification des messages entrants et aide les destinataires à déterminer si les message est “aligné” avec ce que le destinataire connaît de l’expéditeur. Sinon, DMARC inclut une manière de gérer les messages “non-alignés”.

Voici le principe de fonctionnement de DMARC :

Serveur dédié : ajouter l'authentification DMARC à Postfix et Bind9 photo

Il est important de noter que DMARC est basé à la fois sur les spécifications de DKIM (DomainKeys Identified Mail) et SPF (Sender Policy Framework) qui sont toujours en cours de développement par l’IETF.

Serveur dédié : à la recherche de l’inode perdue ou comment résoudre le problème “no space left on device”

24 March 202204 avril 2016 by Matt Biscay · Lecture: 6 minutes

Les inodes perdues ! Cette semaine, j’ai eu droit à un problème particulier sur le serveur : alors que rien dans la configuration des services n’a été changé, je me suis rendu compte que WordPress ne réagissait pas comme d’habitude.

Les symptômes les plus visibles sont la lenteur de l’application, l’impossibilité de mettre à jour ou corriger un article ou encore ajouter des tags à un nouvel article.

J’avais déjà connu cet état lors d’un crash de la base SQL il y a maintenant quelques années donc je me suis dit que j’allais commencer par redémarrer Apache puis réparer la base de données.

Suppression des instances Apache et redémarrage du service

Dès le lancement de la session SSH, il est évident que quelque chose ne tourne pas rond. Après le message de bienvenue, un message d’erreur apparaît :

/usr/bin/xauth:  error in locking authority file /root/.Xauthority

Et en voulant arrêter Apache, on obtient:

Restarting web server: apache2. [error]
There are processes named 'apache2' running which do not match your pidCode language: JavaScript (javascript)

On commence donc par régler ce problème et on regarde quels sont les PID utilisés par Apache:

pidof apache2

La commande pidof nous retourne toute une liste de pid:

32691 31385 31154 30917 30663 29150 27368 24820 24563 17531 15227 14235 13559 13064 11028 10906 10256 9156 9144 9042 8855 8542

On met fin à toutes ces instances avec un simple kill -9:

kill -9 32691 31385 31154 30917 30663 29150 27368 24820 24563 17531 15227 14235 13559 13064 11028 10906 10256 9156 9144 9042 8855 8542

Une fois toutes les instances d’Apache supprimées, il nous est de nouveau possible de redémarrer le service normalement:

service apache2 restart

Ménage dans l’espace disque et le nombre d’inodes disponibles

Au moment de réparer les tables de la base de données, rebelote, erreur :

No space left on device (error 28)

On commence par un petit ménage dans les paquets obsolètes, qui ne résoudra pas grand-chose:

apt-get autoclean && apt-get autoremoveCode language: JavaScript (javascript)

Je tente un simple df pour vérifier si les disques sont pleins :

df

mais visiblement, non, il reste bien de la place :

Filesystem      Size  Used Avail Use% Mounted on
/dev/root       9.8G  4.4G  5.0G  47% /
devtmpfs        2.0G     0  2.0G   0% /dev
tmpfs           390M  408K  390M   1% /run
tmpfs           5.0M     0  5.0M   0% /run/lock
tmpfs           780M     0  780M   0% /run/shm
/dev/sda2       683G  531G  118G  82% /homeCode language: PHP (php)

Je tente alors un df -i pour vérifier le nombres d’inodes disponibles :

df -i

Un nœud d’index ou inode (contraction de l’anglais index et node) est une structure de données contenant des informations à propos d’un fichier stocké dans les systèmes de fichiers Linux/Unix.

À chaque fichier correspond un numéro d’inode (i-number) dans le système de fichiers dans lequel il réside, unique au périphérique sur lequel il est situé.

Serveur dédié : résoudre le problème "no space left on device" photo 1 — Descripteurs de fichiers, table des fichiers et table des inodes sous Linux

Les inodes contiennent notamment les métadonnées des systèmes de fichiers, et en particulier celles concernant les droits d’accès.

Les inodes sont créés lors de la création du système de fichiers. La quantité d’inodes (généralement déterminée lors du formatage et dépendant de la taille de la partition) indique le nombre maximum de fichiers que le système de fichiers peut contenir.

Dans notre cas, catastrophe, il ne reste quasiment plus d’inodes disponibles !

Filesystem     Inodes IUsed IFree IUse% Mounted on
/dev/root        640K  640K     6   100% /
devtmpfs         487K  1.5K  486K    1% /dev
tmpfs            488K   864  487K    1% /run
tmpfs            488K    10  488K    1% /run/lock
tmpfs            488K     2  488K    1% /run/shm
/dev/sda2         44M   37K   43M    1% /home

NAS Synology : retrouver l'accès SSH et rsync après la mise à jour du DSM photo 2

NAS Synology : retrouver l’accès SSH pour rsync après la mise à jour du DSM

24 March 202228 mars 2016 by Matt Biscay · Lecture: 3 minutes

Mon NAS Synology est configuré pour se mettre automatiquement à jour, ce qui est plutôt pratique puisque cela permet d’automatiser les mise à jour de sécurité et des paquets essentiels.

Hier, une nouvelle mise à jour du DSM est arrivée : DSM 6. La mise à jour s’est visiblement bien déroulée mais quelques petites choses ont été modifiées au sein du système, dont la perte d’accès root pour rsync, ce qui est problématique pour mes sauvegardes.

Le truc qui change, c’est qu’au lieu d’utiliser root comme utilisateur, il va désormais être obligatoire d’utiliser un utilisateur qui appartient au groupe administrators. Chez moi, il y en a plusieurs mais pour des raisons de simplicité, nous utiliserons l’utilisateur admin dans ce tutoriel.

Voyons donc comment donner l’accès à rsync pour l’utilisateur admin, cela ne prend que quelques minutes.

Ajouter des utilisateurs dans le groupe des administrateurs

Nous commençons par vérifier que nous possédons bien au moins un administrateur sur le NAS. Par défaut, il devrait au minimum y avoir le compte admin mais vous pourriez l’avoir désactivé pour des raisons de sécurité (c’était mon cas avant de faire cette mise à jour).

Rendez-vous dans Synology > Control Panel > Group > Administrators > Edit members:

NAS Synology : retrouver l'accès SSH et rsync après la mise à jour du DSM photo

Ici, nous avons bien l’utilisateur admin. N’hésitez pas à y ajouter vos autres utilisateurs qui possèdent les droits d’administration.

Note: profitez-en pour faire un détour par Control Panel > User et changez le mot de passe de l’utilisateur admin pour un mot de passe plus robuste.

Linux : régler le problème des accents circonflexes et la disposition du clavier

24 March 202225 mars 2016 by Matt Biscay · Lecture: 1 minute

Problème d’accent circonflexe

Je me suis rendu compte en écrivant mes derniers articles que le clavier de mon ordinateur portable n’était pas bien configuré : il était en effet impossible d’écrire la lettre ê (e accent circonflexe).

Le problème est dû au choix de la configuration du clavier à l’installation du système d’exploitation. Dans ma précipitation, j’avais choisi le modèle 105 touches, sans lettres mortes.

Solution : changer la disposition du clavier

Sous Ubuntu, voici la marche à suivre pour ajouter un clavier utilisable avec les accents:

Allez dans Système > Préférences > Matériel > Clavier > Agencement,

Cliquez sur Ajouter,

Sélectionnez Pays: France puis Variantes: Français,

Enlevez la disposition du clavier précédente (“Français, sans touches mortes” pour moi),

Testez l’accent circonflexe, normalement ce devrait être réglé.

Simple et efficace, sans prise de tête !

Un fond noir avec le changeur de papier peint Linux Variety dessus.

Linux : installer Variety pour changer votre fond d’écran automatiquement

5 March 202421 mars 2016 by Matt Biscay · Lecture: 3 minutes

Du besoin de changer de fond d’écran

J’aime bien que mon fond d’écran change de temps en temps. Cela permet de ne pas avoir un bureau trop fixe, de ne pas avoir toujours la même image sous les yeux.

Ce qui est drôle, c’est que ce n’était pas le cas avant – je pouvais garder le même fond d’écran pendant des mois, voire même des années pour certains.

Sous linux, j’ai utilisé plusieurs programmes pour varier les fonds d’écrans comme Drapes ou Wallch mais, au fur et à mesure des nouvelles moutures de mon système d’exploitation et/ou des mises à jours des paquets et dépendances, ces programmes ont cessé de fonctionner. D’abord Drapes puis, récemment Wallch.

Je suis donc parti en croisade pour chercher une nouvelle alternative et suis tombé sur Variety, qui tourne sous tous les linux dérivés de Debian, comme Ubuntu ou Linux Mint.

Variety

Variety est donc un changeur de fond d’écran (wallpaper changer, c’est plus chic et ça sonne mieux en anglais) léger, très exhaustif en fonctionnalités et ultra-simple à prendre en main.

Il peut automatiquement télécharger de nouvelles images depuis des sources diverses, changer le fond d’écran à un intervalle donné ou à la demande et permet de trier les images pour garder les meilleures.

On peut également ajouter de nouvelles sources d’images.

Du bunker au cloud : les hébergeurs de la cybercriminalité (et des gouvernements)

1 November 202317 mars 2016 by Matt Biscay · Lecture: 2 minutes

Internet est basé sur une architecture bien réelle, avec des serveurs hébergés dans des datacenters dans le monde entier.

Les cybercriminels aussi utilisent des serveurs pour archiver les données qu’ils volent ou pour maintenir toute une infrastructure comme l’envoi de spams ou scams.

Dans les années 2000, des hébergeurs appelés “bulletproof hosters” (l’équivalent internet des banques suisses) offraient de stocker des données sans poser de questions et surtout sans répondre à celles des autorités – devenant ipso facto les repaires préférés des cybercriminels.

Certains appartiennent même au folklore d’internet comme le bunker anti-nucléaire CyberBunker – datant de la guerre froide -, The Pirate Bay ou la principauté auto-proclamée de Sealand, ancienne plateforme pétrolière basée dans les eaux internationales et reconvertie en un datacenter uniquement accessible par hélicoptère.

Cependant, la plupart de ces endroits précurseurs ont subi des raids ou ont été dans l’obligation de cesser leurs activités et les cybercriminels ont depuis stocké leurs données ailleurs.

Le documentaire The Most Dangerous Town: Where Cybercrime Goes to Hide, réalisé par l’éditeur d’antivirus Norton, traite de l’évolution des lieux d’hébergement des données.

Aujourd’hui, les pirates n’utilisent plus de bunkers ou de plateformes pétrolières mais préfèrent se cacher au vu et au su de tous, derrière une vitrine d’une entreprise qui semble légale.

Les cybercriminels préfèrent maintenant utiliser des hébergeurs standards et cacher leurs activités à travers l’utilisation de serveurs proxies et VPN.

Une autre tactique employée, visible dans le documentaire, est l’utilisation d’appartements vides comme adresse professionnelle.

Ils peuvent ainsi changer très rapidement d’adresse au moindre mouvement des forces de police et plus rapidement que la délivrance des mandats de perquisition.

La cybercriminalité est donc passée du monde caché et souterrain des bunkers au monde aérien du cloud, nuage d’informations qui permet de cacher leurs exactions.

Tout cela rend bien sûr leur identification et arrestation bien plus difficiles pour les forces de l’ordre.

Serveur dédié : ajouter le domaine à la liste HSTS preload

24 March 202229 février 2016 by Matt Biscay · Lecture: 2 minutes

Maintenant que votre site est servi en HTTPS à l’aide d’un certificat SSL/TLS et sécurisé par DNSSEC et DANE, il est maintenant temps de l’ajouter à la liste HSTS preload.

HSTS (HTTP Strict Transport Security) est un entête de réponse qui demande au navigateur de toujours utiliser SSL/TLS pour communiquer avec votre site.

Qu’importe si l’utilisateur ou le lien qu’il clique spécifie HTTP, HSTS forcera l’usage d’HTTPS.

Toutefois, cela laisse l’utilisateur vulnérable lors de sa toute première connexion à un site. L’HSTS preloading corrige donc cela.

L’HSTS preloading

Il existe une liste qui permet d’inclure un domaine dans la liste HTTP Strict Transport Security preload de Chrome.

Il s’agit d’une liste de sites qui sont codés en dur dans Chrome comme étant uniquement servis en HTTPS.

Firefox, Safari, IE 11 and Edge ont également des listes HSTS preload qui incluent la liste de Chrome.

Pré-requis

Il y a quelques pré-requis avant de pouvoir être inclus dans la liste HSTS preload. Votre site doit:

avoir un certificat valide,
rediriger tout le trafic HTTP vers HTTPS, c’est-à-dire n’être servi qu’en HTTPS uniquement,
servir tous les sous-domaines en HTTPS, même le sous-domaine www si un enregistrement DNS existe pour ce sous-domaine,
servir un entête HSTS pour les requêtes HTTPS avec une date d’expiration supérieure à 18 semaines (10886400 seconds), les tokens includeSubdomains et preload doivent impérativement être spécifiés. Si vous servez une redirection depuis votre site HTTPS, cette redirection doit obligatoirement contenir l’entête HSTS.
L’entête HSTS doit être présent dans le VirtualHost HTTP aussi, juste avant la redirection vers le VirtualHost HTTPS.

Linux : retrouver l'usage des touches F5 et F6 pour régler la luminosité depuis le clavier d'un ordinateur portable photo

Linux : retrouver l’usage des touches Fn + F5 et F6 pour régler la luminosité depuis le clavier d’un ordinateur portable

29 March 202226 février 2016 by Matt Biscay · Lecture: 3 minutes

Pour mes 35 ans, j’ai eu le plaisir immense de recevoir un nouveau laptop pour remplacer mon ancien PC portable de 2005 dont l’écran avait lâché.

Après avoir joué quelques minutes avec Windows 10, j’ai ensuite installé Ubuntu Mate, qui a l’air vraiment génial.

Après l’installation, au redémarrage de la machine, je constate que la luminosité de l’écran est au maximum et qu’il m’est impossible de régler la luminosté avec les touches Fn + F5/F6.

Si vous êtes vous aussi confronté à ce problème, voici comment le résoudre.

Baisser la luminosité de l’écran

On commence par baisser la luminosité de l’écran avant de perdre la vue ou attraper une sinusite oculaire.

Rendez-vous dans Système > Préférences > Matériel > Gestionnaire d’énergie et baissez la luminosité. Je l’ai mise à 60% dans mon cas.

Ajouter le support des touches F5 et F6 pour régler la luminosité

Il nous reste maintenant à ajouter le support des touches F5 et F6 pour régler la luminosité. Cela m’a pris un peu de temps pour trouver la solution : j’ai d’abord regardé sur le net, installé des paquets, testé, rebooté…

En fait, il n’y a pas de paquets à installer. Il suffit juste d’ajouter une directive dans la configuration de démarrage de GRUB.

1. On édite /etc/default/grub en tant que root :

sudo nano  /etc/default/grubCode language: JavaScript (javascript)

2. On recherche la ligne GRUB_CMDLINE_LINUX_DEFAULT

3. On rajoute l’instruction “acpi_osi=” à la fin de cette ligne. Chez moi, cela donne donc:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash acpi_osi="Code language: JavaScript (javascript)

4. On met à jour GRUB:

sudo update-grub

Synology : lire des vidéos avec des fichiers de sous-titres en DLNA sur la Freebox

5 October 202120 février 2016 by Matt Biscay · Lecture: 2 minutes

Lorsque l’on possède un NAS, on apprécie de pouvoir bénéficier de toutes ses fonctionnalités.

Or, outre les fonctions de sauvegardes, de téléchargement et téléversement des données, il est aussi très agréable de pouvoir lire de la musique ou des vidéos (stockées sur le NAS) directement sur une télévision.

Ce tutoriel s’adresse à celles et ceux qui possèdent une Freebox et un NAS Synology.

Nous allons voir comment configurer le Synology afin que les sous-titres soient détectés et lus par notre Freebox, automatiquement au lancement de notre vidéo.

Synology : installation du Media Server

Sur le Synology, il faut installer le paquet Media Server. Pour cela, il suffit de se rendre dans Main Menu > Package Center >Multimedia > Media Server > Install.

Vous devriez avoir quelque chose comme ceci:

Synology : configuration du DLNA

Ensuite, il faut configurer le DLNA. Rendez-vous dans Main Menu > Media Server > DMA Compatibility où plusieurs réglages sont à effectuer:

Freebox : lire une vidéo avec un fichier de sous-titres en DLNA depuis un NAS Synology photo 1

On commence par cocher l’option “Enable customized MIME types“. Voici la liste dont je dispose :

avi=video/x-ms-video,wav=audio/x-wav,m4v=video/mp4,mp4=video/mp4,mkv=video/x-msvideo,srt=plain/text,sub=plain/text

Ensuite, il faut cocher l’option “restrict access to Media Server for newly detected UPnP/DLNA devices”.

Mon nouveau laptop : Asus N551VW

8 April 202209 février 2016 by Matt Biscay · Lecture: 2 minutes

Pour mes 35 ans, j’ai reçu un super cadeau d’anniversaire : un nouvel ordinateur portable Asus N551VW-FW119T.

Asus N551VW

Voici la bête en images :

et le clavier :

Au programme : un écran 15,6″ mat et anti-reflets, un processeur i7-6700HQ (2,6 GHz), 8 Go de RAM en DDR4, une carte graphique GTX 960M, un disque SSD de 128 Go + 1 To en SATA, coque en aluminium brossé…

Premières impressions

On ne va pas se le cacher, il est très rapide! Démarrage éclair, aucun lag dans le lancement des applications, c’est vraiment du bonheur. Le clavier est vraiment bien, avec pavé numérique et rétro-éclairage.

Parmi les inconvénients, je noterai le poids/encombrement puisque avec ses 2.7 kg, on ne va pas le trimballer tous les jours et l’autonomie – qui tourne autour des 3h30-4h. Il est difficile d’allier performance et autonomie à l’heure actuelle.

← Précédent Suivant →